Вход | Регистрация
 
1С:Предприятие :: 1С:Предприятие 8 общая

1С: Тема дипломной работы, связанной с информационной безопасностью и 1с

1С: Тема дипломной работы, связанной с информационной безопасностью и 1с
Я
   Provad
 
14.09.20 - 03:41
Здравствуйте! Учусь на специальности Информационно-аналитические системы безопасности. Пришло время написания диплома и поскольку собираюсь работать с 1С, хочу написать на смежную тему связанную ИБ и 1С. Подскажите пожалуйста какую тему можно было бы взять или что/какие механизмы ИБ в 1С (или уязвимости) можно было бы рассмотреть в работе уровня дипломного проекта?
   rphosts
 
1 - 14.09.20 - 04:05
Если собираешься работать с 1С - владей хотя-бы базовой терминологией, ИБ в контескте 1С это ИнформационнаяБаза. Для файловой ИБ безопасность это фантастика, для клиент-сервера обеспечивается средствами СУБД, ОС и тем что "закрывает" клиента.... покурите тему "программный комплекс Аура" и подобные поделки.

По взломами имейте в виду пункт №4 правил https://forum.mista.ru/rules.php
   vovastar
 
2 - 14.09.20 - 06:31
(0) Вот зачем вам 1С с такой специальностью?
Сейчас, в этой сфере брешь огромная и заработки на высоте.
На одних только тендерах по аттестации можно в черной икре купаться.
   yurikmellon2
 
3 - 14.09.20 - 08:21
(0) этим летом сидел в комиссии, принимали дипломные работы бакалавров и магистров, одна девочка написала работу на тему "Двухфакторная авторизация в 1С"
   МимохожийОднако
 
4 - 14.09.20 - 08:26
(3) Ну и каков результат?...
   H A D G E H O G s
 
5 - 14.09.20 - 08:39
(4) Ну защитилась наверное.
Ну а хули нам, двухфакторнобезопасникам...
   yurikmellon2
 
6 - 14.09.20 - 08:40
(4) результат на оценку "хорошо"
   craxx
 
7 - 14.09.20 - 08:42
(3) а че такого?
   yurikmellon2
 
8 - 14.09.20 - 08:52
(7) в каком смысле "чё такого"? Это пример дипломной работы по информационной безопасности в приложении к 1С
   H A D G E H O G s
 
9 - 14.09.20 - 09:09
(8) даже интересно, какой воды можно было там налить на диплом.
   K1RSAN
 
10 - 14.09.20 - 09:11
(9) Видишь мировой океан? - а это только введение)
   Карст
 
11 - 14.09.20 - 09:11
навеяло .... на бутылке кока колы на дне, надпись - не переворачивайте вверх дном )))
   uno-group
 
12 - 14.09.20 - 09:19
(1) Полная ерунда. Файловой гораздо проще создать в разы больше трудностей по взлому чем в скл. Хотя 1с и безопасность это защита для ленивого.
   uno-group
 
13 - 14.09.20 - 09:19
+(12) для =от
   Eiffil123
 
14 - 14.09.20 - 09:22
(12) если пользователь может зайти в файловую базу - значит у него есть полный доступ к файлу базы, он ее попросту может утащить. в чем тут безопасность?
   fisher
 
15 - 14.09.20 - 09:30
(0) Заснифь и разбери протокол авторизации и последующего обмена данными, наметь вектора атаки, напиши работающий эксплойт, опиши комплекс мер противодействия.
   Lama12
 
16 - 14.09.20 - 09:31
(0) Выявление утечки информации путем поведенческого анализа работы пользователя.
Защита утечки файловой ИБ за счет использования IIS и apache.
Проблемы доменной авторизации со сложной структурой домена.
   NcSteel
 
17 - 14.09.20 - 09:32
(0) Напиши про Маркировку: актуально, модно, молодежно.
   uno-group
 
18 - 14.09.20 - 17:44
(14) РДП публикация приложения чисто 1с без всего остального, отключаем дальнейший доступ в сеть и т.п. квоты на размер сохраняемых данных и т.д. Безопасность данных чисто средствами 1с не обеспечивается, это комплекс мер как программных так и административных. А скл особенно с виндовс авторизацией посмотреть или скопировать данные для спецов уровня Ёпрст 3 минуты времени.
   ДенисЧ
 
19 - 14.09.20 - 17:47
(18) Скуль с виндовз-авторизацией для 1с? Это не ИБ. Это ИАБ.
   wt
 
20 - 14.09.20 - 18:45
Для начала. А что говорит 1с о безопасности?

https://its.1c.ru/db/metod8dev/content/5816/hdoc
   wt
 
21 - 14.09.20 - 18:53
   H A D G E H O G s
 
22 - 14.09.20 - 19:01
Что мы говорим богу смерти, когда храним в настройках сервера 1С пароль к логину SQL, пусть и в зашифрованном виде?
   wt
 
23 - 14.09.20 - 19:01
В мое время в требованиях к дипломному проекту было какое-то кол листов записки, штук 5-6 листов а0, прогрммма или техническое решение, экономическая часть, те эффект. А что в качестве своего ноу-хау представит ТС? Безопасность в продуктах уже решена. Описание вышеуказанных решений? Попытку взлома? Странно это все по теме безопасности. Имхо направление, высосанное из пальца. Сколько работал, ни разу не встречал сколько-нибудь серьезного подхода к проблеме. Админы, ещё куда ни шло. Это важно. А в приложениях?
   mistеr
 
24 - 14.09.20 - 19:44
(0) Найди пару RCE через веб клиент.
Убъешь двух зайцев: и защитишься без проблем, и в 1С на работу возьмут, по специальности. Даже трех, "работа с 1С" будет, как ты хочешь.
   mistеr
 
25 - 14.09.20 - 19:45
(23) >Безопасность в продуктах уже решена.

Лол.
   Cyberhawk
 
26 - 14.09.20 - 19:52
(11) Может на крышке, а не на дне?
   Cyberhawk
 
27 - 14.09.20 - 19:53
(22) А как этим хешем воспользоваться?
   PuhUfa
 
28 - 14.09.20 - 20:01
У моего одного клиента "авторизация в 1С" сделана по отпечатку пальца -)
   vde69
 
29 - 14.09.20 - 20:15
безопасность в 1с - очень условное дело...

в прицепе в 1с есть почти все средства для обеспечения полноценной защиты данных, и почти все средства для обеспечения общей безопасности IT систем.

Но к сожалению все это по дефолту выключено и требует принудительной настройки которую никто не делает, даже я сам зная все эти дыры даже не пытаюсь их закрыть (причин на то много и это тема отдельная).
   mmg
 
30 - 14.09.20 - 20:47
(27) Если бы это был хэш... Это - просто зашифрованная общеизвестным способом строка.
 
 Рекламное место пустует
   vde69
 
31 - 14.09.20 - 21:23
(22) это не самое страшное что есть в 1с в плане безопасности, на крайняк это грозит доступом к одной базе 1с (ибо не стоит использовать sa для 1с)
   bolder
 
32 - 14.09.20 - 21:46
(0) Ну например,»Обеспечение безопасности информационных баз 1С при работе в режиме тонкого клиента через сеть Интернет».
   nicxxx
 
33 - 15.09.20 - 01:27
Вот вам про безопасность в 1С: https://habr.com/ru/post/352566/
   Cyberhawk
 
34 - 15.09.20 - 08:50
(30) Неа. Не расшифровывается. Т.е. способ шифрования неизвестен, либо известен, но там соль добавлена, не позволяющая расшифровать.
   uno-group
 
35 - 15.09.20 - 09:01
(34) А нафик ее расшифровывать вставь кусок в файл своей базы 1с и откорректируй контрольную сумму, что файл не битый.
   Волшебник
 
36 - 15.09.20 - 09:05
(3) Хорошая тема.
   stopa85
 
37 - 15.09.20 - 09:12
(22) А где-то как-то по другому?
   stopa85
 
38 - 15.09.20 - 09:16
(32) Да норм решение.

Я все хочу попробовать сделать так, (но руки не доходят и особой нужды нет): Опубликовать ИБ на web-сервере, при этом сам web-сервер предоставлял доступ клиенту по сертификату. И шифрование в высшей степени и вокруг 1С создали доп. контур безопасности. А вот работу организовать через ТонкийКлиент.
   Cyberhawk
 
39 - 15.09.20 - 09:42
(35) Для этого, как я понимаю, нужно либо иметь возможность (право) создавать базы в той же СУБД (доступ к которой хотим поиметь), либо уже иметь там свою какую-нибудь базу.
И поэтому для каждой базы нужно заводить своего отдельного пользователя в СУБД, креды которого и указывать в кластере 1С.
Или это все равно ни от чего не защитит?
   Cyberhawk
 
40 - 15.09.20 - 09:43
(37) Некоторые любят заводить в СУБД логин для пользователя ОС, от имени которого работает служба сервера 1С (или рабочий процесс, если используем в кластере swpuser.ini).
Тогда при создании базы 1С в кластере никакие креды указывать не нужно - кластер будет аутентифицироваться в СУБД средствами ОС (от имени этого пользователя ОС).
   stopa85
 
41 - 15.09.20 - 09:52
В мире web все делают так: Хостинг провайдер выдает пару логин-пароль от субд клиенту. Клиент сохраняет их в конфигурационном файле своей говно-cms (их взламывают пачками, потому что никто ничего не обновляет).

И... ничего... никаких массовых взломов инфраструктуры хостинг-провайдеров нет.
   stopa85
 
42 - 15.09.20 - 09:52
(40) не уверен, что это безопасней. Но выглядит удобно.
   Cyberhawk
 
43 - 15.09.20 - 12:41
(42) Именно: насрать в СУБД становится гораздо проще. По сравнению с предлагаемым в (35) не видно какой-то особой разницы, а телодвижений там даже больше, т.е. безопаснее :)


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.